据Cyber Security News消息，新型ANY.RUN 沙盒分析了一种被称为Meterpreter 的够图新型后门恶意软件  ，能利用复杂的片中隐写技术将恶意有效载荷隐藏在看似无害的图片文件中
。

基于Meterpreter的隐藏攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始
，该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片 ，恶意该图片可以是代码一张景色秀丽的香港云服务器风景画，但却隐藏着恶意脚本。新型

恶意脚本使用 System.Drawing 库和特定公式(149 & 15)*16)|| (83^15) = 83从图像通道中计算出一个字节数组，够图该公式从图像的片中前两行绿色和蓝色RGB色彩通道值中通过提取隐藏代码而来。获得字节数组后，隐藏恶意软件会将其解码为 ASCII 字符，恶意从而显示用户代理字符串和恶意软件将尝试连接的代码 C2 服务器 IP 地址 。

Meterpreter后门原理

通过这种连接
，新型攻击者可以发布命令，亿华云够图并有可能在未经授权的片中情况下访问被入侵的系统。解码后的信息会被转换成脚本，由恶意软件执行，从而在受感染的机器上建立一个持久的后门 。该后门可用于各种恶意活动 ，如数据外渗、高防服务器远程代码执行或在网络中进一步传播恶意软件。

隐写术是一种将信息隐藏在看似无害的数据中的做法 ，能够绕过传统的安全措施 ，通过在图像、音频文件或其他多媒体内容中隐藏恶意代码 ，在不被察觉的模板下载情况下发送有效载荷，目前正成为网络犯罪分子日益青睐的技术，Meterpreter 后门活动凸显了现代恶意软件作者的复杂性和适应性 。通过利用隐写术，可以有效地隐藏其恶意活动，使安全专业人员在识别和减轻威胁方面面临更大的挑战。

一位网络安全专家表示，这一活动凸显了采用多层次安全方法的云计算重要性，这种方法将传统的基于签名的检测与行为分析和机器学习等先进技术相结合 ，要想在这些不断变化的威胁面前保持领先，就必须时刻保持警惕 ，并采取积极主动的网络安全方法。

(责任编辑：数据库)